Proteggi ciò che crei

Le altre nostre risorse

Chiudi

La mia libreria
La mia libreria

+ Aggiungi alla libreria

Supporto
Supporto 24/7 | Regole per contattare

Richieste

Profile

Back to news

Nuovo trojan per Linux è munito di un vasto arsenale di funzioni dannose

27 agosto 2013

Doctor Web — produttore russo di software per la sicurezza informatica — informa che è stato rilevato un nuovo malware per Linux, nominato Linux.Hanthie. Un'indagine mostra che questo trojan (anche conosciuto come Hand of Thief, cioè "mano del ladro" in inglese) dispone di molteplici funzioni dannose e può nascondere la sua presenza nel sistema dai programmi antivirus.

Oggi questo programma malevolo ha una grande popolarità sui forum clandestini di hacker, dove i malintenzionati lo vendono attivamente. Il prodotto Linux.Hanthie si posiziona come un bot della classe FormGrabber o un BackDoor per il SO Linux che dispone di funzioni anti-rilevamento e di un caricamento automatico nascosto, non richiede i privilegi di amministratore e usa la crittografia forte (256 bit) per la comunicazione con il pannello di controllo. Il bot può essere configurato in modo flessibile mediante il file di configurazione.

Quando è avviato, il trojan blocca l'accesso del computer agli indirizzi da cui si scaricano software o aggiornamenti antivirali. Il trojan può resistere all'analisi e all'avvio in ambienti isolati o virtuali.

La versione corrente di Linux.Hanthie non ha meccanismi di replicazione automatica perciò sui forum di hacker i creatori del trojan consigliano di propagarlo tramite metodi del social engineering. Il trojan può funzionare in diverse distribuzioni Linux, comprese Ubuntu, Fedora e Debian, e supporta otto tipi di ambienti desktop, per esempio GNOME e KDE.

Una volta avviato, l'installer del malware verifica la propria presenza nel sistema e controlla se sul computer sia in esecuzione una macchina virtuale. Quindi Linux.Hanthie si installa nel sistema creando un file di esecuzione automatica e collocando una copia di se stesso in una cartella sul disco. Nella cartella di file temporanei, il trojan crea una libreria eseguibile e cerca di incorporarla in tutti i processi in esecuzione. Se il trojan non riesce a incorporare la libreria in qualche processo, dalla cartella temporanea avvia un nuovo file eseguibile la cui unica funzione è interagire con il server di controllo e quindi elimina la copia iniziale.

Il trojan è composto da più moduli funzionali, uno dei quali è una libreria che contiene il payload principale del malware. Utilizzando questa libreria, il trojan incorpora un "grabber" (un programma ideato per rubare dati) nei browser Mozilla Firefox, Google Chrome, Opera, nonché nei browser Chromium e Ice Weasel che funzionano esclusivamente sotto Linux. Il "grabber" consente di intercettare le sessioni HTTP e HTTPS e di inviare ai malintenzionati i dati inseriti dagli utenti in formulari su diverse pagine web. Inoltre, questa libreria svolge le funzioni di un backdoor, e in tale caso i dati scambiati con il server di controllo vengono cifrati.

Il trojan può eseguire sulla macchina infettata alcuni comandi impartiti su remoto. Per esempio, il comando "socks" avvia un proxy server, il comando "bind" lancia uno script che ascolta le porte, il comando "bc" connette il computer al server remoto, il comando "update" scarica e installa una versione aggiornata del trojan e il comando "rm" rimuove il trojan stesso. Al tentativo di accedere agli script avviati "bind" o "bc", il trojan restituisce nella console il seguente messaggio:

screenshot

Un altro modulo consente al trojan di realizzare alcune funzioni senza eseguire inject.

La firma antivirale corrispondente è stata aggiunta ai database del software Dr.Web che rileva e rimuove il trojan con successo.

La tua opinione conta per noi

Per ogni commento viene accreditato 1 punto Dr.Web. Per fare una domanda relativa alla notizia all'amministrazione del sito, inserire @admin all'inizio del commento. Se una domanda si fa all'autore di uno dei commenti — inserire @ prima del suo nome.


Altri commenti

Sviluppatore russo degli antivirus Dr.Web
Esperienza di sviluppo dal 1992
Dr.Web viene utilizzato in 200+ paesi del mondo
L'antivirus viene fornito come un servizio dal 2007
Supporto ventiquattro ore su ventiquattro

Dr.Web © Doctor Web
2003 — 2020

Doctor Web — sviluppatore russo dei software di protezione antivirus delle informazioni Dr.Web. I prodotti Dr.Web vengono sviluppati fin dal 1992.

125124, Russia, Mosca, la 3° via Yamskogo polya, 2, 12A